כרטיס האשראי שנמצא בשימוש היום בישראל ניתן לשכפול בצורה קלה. הכרטיס החכם הרבה יותר בטוח. אנו רשת הפיקוח היחידה בעולם שהוציאה הוראות שנוגעות להגנת הסייבר" - כך אמרה (יום ג', 16.6.15) רחל יעקובי, מנהלת יחידת סיכונים תפעוליים בבנק ישראל.
יו"ר ועדת המדע והטכנולוגיה, ח"כ
אורי מקלב, ביקש לברר בדיון היום בעקבות ניסיונות פריצה ברשת, מדוע בנק ישראל אינו מחייב את חברות האשראי לדרוש מבעלי העסקים להשמיד מידע שקיבלו בעת ביצוע עסקה. "בנק ישראל הוא הרגולטור של חברות האשראי. חברות האשראי יכולות, בבואן להתקשר עם עסקים, לדרוש מהם תנאי סף שיבטיחו את פרטיות הצרכנים. צריך לפעול כדי שאף אחד מעובדיו של העסק לא יאגור מידע. אם נחייב את בעלי העסקים שלא לשמור פרטים של הצרכן, נדע שיש לנו שלייקס".
עו"ד שירלי אבנר מבנק ישראל אמרה כי "הסכמים לא יכולים לפתור את הבעיה. הרגולציה שלנו היא מול חברות האשראי, לא מול העסקים. מה קורה אם בית עסק יפר את ההסכם עם חברת האשראי? מי יאכוף את זה?"
עו"ד לימור שמרלינג מגזניק ממשרד המשפטים ציינה כי "מהות הפעולה היא גניבה והונאה, והיא לא שונה מגניבה פיזית גם אם נעשה שימוש בטכנולוגיה. ח"כ מקלב ענה כי "הדיון הוא על הקלות בה ניתן לבצע את העבירה ובהגנות הנדרשות בשל כך". עו"ד שמרלינג מגזניק ציינה כי "חברות כרטיסי האשראי חייבות בחובת אבטחת מידע. יש מפרט לא מספיק, שאינו מפנה לתקן. הגשנו לשרת המשפטים טיוטה כדי לקדם ולשפר את המצב הקיים. חברות האשראי יכולות לומר לבית עסק - לא נעבוד אתך אם רמת האבטחה שלך לא מספקת. יש גם כרטיסי אשראי שכוללים גם סיסמה. זו שכבת הגנה משמעותית".
ח"כ מקלב הוסיף "אדם שאוגר מידע שקיבל לצורך ביצוע עסקה, האם הוא עובר עבירה?" עו"ד שמרלינג אמרה כי "ברור שהאדם נתן את הסכמתו לשימוש בפרטיו. אגירת המידע, אם היא מתחייבת לשימוש לשם ביצוע העסקה, חוקית". מקלב שאל: "ולהשאיר אצלו את המידע, גם מסיבות מסחריות הוגנות, האם עצם הקמת המאגר ושימורו, ללא שימוש בו חוקי? אני כלקוח התכוונתי למסור מידע לביצוע עסקה אחת מידית ולא מעוניין שתאגור עלי מידע. אני לא סומך עליך. אני חושש שמישהו יפרוץ לך למחשב שלך. שמירת המידע הזה משמעותו שה'ארנק' של כל אחד ואחד חשוף פרוץ לכל".
בהמשך דיבר עו"ד יהונתן קלינגר מעמותת אשנב. לדבריו, "בישראל, בניגוד לארצות אחרות, משתמשים במספר הזהות שלנו כמפתח לביצוע עסקה. אין סיבה שמועדון לקוחות בסופר ידע את מספר הזיהוי שלי. דליפות של מאגרים לא יאפשרו שימוש בלי מספר הזהות. אם יודעים רק איזה ממרח אני אוהב, זה פחות נורא, אבל אם אפשר להצליב מידע, האפשרויות גדלות. יש חברות בשוק שמתמחות בטיוב נתונים. לכן הצענו לאסור לשמור מספרי זהות".